中国国际核聚变能源计划执行中心无线网络



 
1 项目概况
中国国际核聚变能源计划执行中心(简称ITER)ITER办公WLAN现状问题:ITER办公WLAN在2009年建设,存在无线用户联不上网或联上网速度慢问题,影响了日常办公。
主要原因分析:2009年建设WLAN时,当时采用802.11g标准的AP,当时AP空口带宽54M,普通终端用户接入可用带宽只有2M-24M(由于AP共享访问机制,一个AP下带的用户数越多,单一用户可用带宽越低),并且每个AP同时连接终端数有限制,通常在20-30个/AP。
由于移动互联网化快速发展,笔记本电脑、手机、PAD等终端都需要占用WLAN连接资源,目前ITER有员工40-50人,如果每人有2个终端并法,通常会有80-100终端在用,会超出有的区域AP承受并发连接终端数。
还有,大会议室最多可以有40人同时参会,如果每人有2-3个终端(笔记本、手机),则最多有80-120人,这样,原来会议室AP容量只有60人(2个AP),已经超出AP容纳终端数极限,所以出现终端连接不上无线网络,或是连接到网络也出现慢的现象。
因此出现联网不畅和联网速度慢是设备标准和性能不足导致。
本次WLAN改造目标:通过更新大容量、高带宽802.11AC标准的千兆空口带宽AP,并增加AP密度来解决连接数和带宽不足问题,满足员工PC、手机、PAD等随时随地高品质上网需求,实现高带宽、稳定、安全WLAN网络。本次WLAN建设覆盖区域包括:6楼办公区、会议室和1楼部分区域,实现无死角覆盖。新建无线网络符合无线技术发展趋势,满足未来5-8年需求。
 
2 解决方案
整体方案示意图:

 
1)方案要点和AP布放
在目前ITER整体安全架构下,无线区域有线部分设置在网神安全网关下面。无线区域增加两台盒式汇聚交换机S5560,S5560汇聚交换机连接2台无线控制器、2台新增PoE+交换机、1台无线网管服务器、1台Portal Server服务器和1台Radius认证服务器(H3C EIA)。
WLAN采用瘦AP架构,WLAN网络包括:无线控制器(利旧原有WX3024E,增加相应License)和新增接入AP,无线控制器对全网AP进行管理控制,AP所有流量可以设置经由无线控制器,两台无线控制器可以实现互备。房间、会议室等新增AP连接到两台PoE+交换机下。
针对无线接入用户认证的Portal服务器、认证授权服务器,实现接入用户Portal认证,Portal网关设置在AC,Portal服务器和认证授权服务器采用机房 H3C iMC EIA组件。
DHCP Server共用原有DHCP服务器。
AP设置在各个楼层,根据不同场景设置不同类型的AP,如:
6层办公区房间,每个房间实现2.4G和5G 802.11AC 双频覆盖,达到866M无线覆盖,每个AP双频覆盖,可以容纳60-80并发终端。考虑到大会议室最多有120终端,需要采用大容量AP,实现2个2.4G+1个5G射频模块或2个5G+1个2.4G的3频大容量AP,大容量AP可以实现120+以上用户并发(双频叠加),考虑到极端情况(所有终端都用2.4G),大会议室还要放装2-3个AP。
经过现场勘察,AP布放点位分布如下:
6层区域1:
638办公室安装3个AP(吸顶安装或壁挂安装),其他小房间各安装1个AP(吸顶安装或壁挂安装)。AP型号选用H3C WA4320i双频802.11AC AP。总计12个。
 
 
6层区域2:
大会议室安装3个大容量AP(吸顶安装或壁挂安装)WA4330,其他小房间各安装1个普通放装AP WA4320i(吸顶安装或壁挂安装)。
 
 

 
一层区域AP:
设置两个大容量AP 4330。
 

 
对于AP供电,统一采用PoE交换机模式,由于原来接入交换机不支持PoE+功能,本次改造新增2台PoE+交换机(每层2个配线间),统一实现AP远程供电,同时增加2台无线汇聚交换机,在实现PoE交换机汇聚同时,还要将无线网管、无线控制器、无线认证、Portal服务器等服务器接入,两台无线汇聚交换机可以实现互备。
对于内部员工,采用Portal认证,并实现无感知认证――第一次认证,第二次根据MAC地址识别终端,自动免认证。
对于访客,采用临时帐号认证,管理员可以帮忙先设置好临时帐号或用户自助设置帐号。
ITER原来已经有了有线网络和安全设备,2014年还采购了部分网络设备和无线控制器,本次方案充分考虑利旧。由于本次新增802.11AC AP需要采用PoE+供电,原有PoE接入交换机不支持PoE+,需要增加楼层PoE+交换机2台,然后在原有局域网基础上叠加有线网络。
 
2)终端安全认证
ITER具有保密性,网络接入必须进行认证授权才能对IT资源进行访问,所以认证是一个非常重要的环节。在此次无线的部署中,也充分考虑到了无线网络的安全性在认证方面做了以下设计:
 
认证授权服务器采用H3C iMC EIA组件,EIA是标准Radius服务器软件,可以针对用户进行认证、授权,同时EIA组件还具有Portal服务器功能,通过自动弹出Web页面对用户进行认证,客户端不需要安装软件。
无线网的流量采用集中式转发,所有转发流量都通过CAPWAP隧道到达无线控制器终结后转发,要访问外网证服务器做portal认证后才能获得相应的访问权限。
H3C基于iMC平台的EIA(用户接入管理组件)提出MAC绑定快速认证的技术思路,其特点如下:
1、用户体验改善,首次用户需手动Portal认证,后续使用无感知认证;
2、终端适配较好,适配大部分WLAN终端,无需适配客户端;
3、认证兼容性较好,兼容现有Portal认证方式;
 
3 方案总结
  此项目涉及到的设备安装调试已经完成,经过工程师对每个信道的调优,现在整个ITER的无线网络之前所遇到的问题得到全部解决。